Video: Java 7 EXPLOIT - How to Check and Patch! [Security Vulnerability] (November 2024)
Met de recente zero-day exploit voor Java verslaan we de "update Java now" -trommel en spelen we de "Java helemaal uitschakelen" vijf in de SecurityWatch- parade. Als dat nog niet genoeg is, is recent nieuws dat de cyberaanvalcampagne van Red October gebruik heeft gemaakt van een Java-exploit nog maar één reden om gelijk te lopen.
De Java-aanvalsvector werd ontdekt door Seculert en kondigde dinsdag aan op de blog van het bedrijf. Hoewel veel aanvallers gebruik maken van Java-exploits, verschilt dit van wat eerder bekend was over Red October. In het eerste rapport over de campagne van Kaspersky Labs werd Red October gekenmerkt door te vertrouwen op zeer gerichte spearphishing-e-mailaanvallen met geïnfecteerde bestanden.
"In vector stuurden de aanvallers een e-mail met een ingesloten link naar een speciaal vervaardigde PHP-webpagina", schrijft Seculert. "Deze webpagina misbruikte een kwetsbaarheid in Java (CVE-2011-3544) en op de achtergrond werd de malware automatisch gedownload en uitgevoerd."
Geen nieuwe exploitatie
Belangrijk om op te merken is dat de Java-aanval van Red October niet de zero-day exploit is die we hebben behandeld. Seculert schrijft zelfs dat dit deel van de rode oktoberaanval rond februari 2012 werd geschreven, terwijl de exploit die het gebruikt in oktober 2011 werd gepatcht. Daarom moet u uw software gepatcht en up-to-date houden.
Nadat het nieuws over het Java-aspect van Red October was gepubliceerd, plaatste Kaspersky een follow-up met meer informatie. "Het lijkt erop dat deze vector niet veel werd gebruikt door de groep", schrijft Kaspersky. "Toen we de php downloadden die verantwoordelijk was voor het '.jar' malcode-archief, werd de coderegel die de java-exploit afleverde, weggelaten."
Kaspersky probeert dit aspect van de aanval te karakteriseren en gelooft niet dat dit duidt op een andere aanpak tegen Red October. In plaats daarvan geloven ze dat het in overeenstemming is met de methodische, goed onderzochte aanvallen die het handelsmerk van Red October zijn.
Wat het betekent
"We zouden kunnen speculeren dat de groep hun malware-payload enkele dagen met succes aan de juiste doel (en) heeft geleverd, en daarna de inspanning niet langer nodig had", schreef Kaspersky gisteren. "Dat kan ons ook vertellen dat deze groep, die hun infiltratie- en verzameltoolset nauwgezet heeft aangepast en ontwikkeld aan de omgeving van hun slachtoffers, begin februari 2012 de behoefte had om van hun gebruikelijke spearphishingtechnieken naar Java te verhuizen."
Kaspersky schreef verder dat verschillende technische aspecten van deze aanval verschillen van andere Red October-aanvallen, waardoor het beveiligingsbedrijf denkt dat deze exploit voor een specifiek doel is ontwikkeld.
Het is een opluchting om te horen dat het Java-aspect van Red October niet werd gebruikt om een bredere groep slachtoffers aan te vallen. Hoewel deze cyberaanvalcampagne angstaanjagend is qua effectiviteit, richtten de makers zich op prominente overheids- en diplomatieke doelen en niet op dagelijkse gebruikers. Het toont echter ook aan dat veel software-exploitanten bekend zijn bij aanvallers, die profiteren van luie gebruikers die hun updates ontlopen.
Volg hem op Twitter @wmaxeddy voor meer informatie van Max.
